|
On 04/04/2019 13:04, Valentin Melot
wrote:
Je suis dubitatif honnêtement. Une clef qui se refile = risque que
dans dix ans, des gens qui n'ont plus aucun rapport avec le projet
puissent quand même signer des trucs (ou plus vraisemblablement,
ne prennent plus les précautions nécessaires à la protection de la
clef).
Alors qu'une clef personnelle = on sait précisément qui, en tant
qu'individu, est responsable.
Pour moi, signer avec une clef PGP équivaut à apposer une
signature (papier) : un individu peut bien signer au nom d'une
personne morale, mais c'est bien la signature de la personne
physique qui est apposée. La personne morale, elle, sera plutôt
représentée par un coup de tampon en plus.
En outre, une autre chose qui me fait penser à cela, c'est le fait
que tout ce qui concerne les chaînes de confiance pour les clefs
semble avoir été prévu pour des personnes physiques, et non par
des personnes morales.
Quelqu'un sait quels sont les usages des autres projets ? Il me
semble n'avoir jamais reçu un mail ou téléchargé un fichier
PGP-signé par une personne morale, mais je puis me tromper.
Miltøn
Alors que de nos jours, la cryptographie nous offre différentes
solutions à ce problème :
- Les signatures
de groupe dynamique/accréditation anonyme, qui permettent
aux membres d’un groupe enregistrés (ici le collège) de fournir
des signatures de manière anonyme au sein du groupe, mais qui
prouvent que la signature a été émise par un des membres du
groupe. Ensuite on met à jour le groupe quand le collège est
renouvelé (cela ne change pas la clef publique du groupe).
- Les signatures
à seuil, proche des approches de type “calcul multipartite
sécurisé” qui permettent aux membres du collège de signer les
messages, mettons si 3 membres collaborent pour le faire (sans
jamais reconstruire la clef). Ainsi, si un membre du collège
s’enfuit avec sa part de la clef, il ne pourra de toute manière
rien en faire.
Mais bon, là je pars dans la spéculation, c’est encore loin
d’être standardisé (quoique pour les signatures à seuil c’est en cours…).
:-p
galex a écrit:
Non, dans les installateurs windows et les exécutable
windows, ya des
signatures, vérifiées par l’OS, et par l’antivirus. Ça ça aide
à ce que
ça s’installe plus facilement, parce que quand t’as une
politique de
sécurité sérieuse, et que t’es assisté comme tu l’es parfois
sous des OS
commerciaux, tu bases ta politique de sécurité là-dessus, pas
sur un
autre protocole que tu connais moins bien et que tu pourrais
mal
appliquer.
D’ailleurs, les exécutables des releases de gros projets libres
genre gimp, ils font comment pour fournir des signatures
de confiance pour des OS propriétaires ? Je sais qu’on est pas du
tout à la même échelle, mais c’est toujours bien de s’informer ☺
− Chouhartem
|